安全和 IT 角色的Security Copilot用例

Security Copilot允许用户在应用于安全运营中心或 IT 团队中的不同角色或角色时完成以下关键用例。

调查和修正安全威胁

获取事件的上下文，以便通过分步响应指南将复杂的安全警报快速会审到可操作的摘要中，并更快地进行修正。

• SOC - 接收事件响应的可操作分步指南，包括会审、调查、遏制和修正的说明。
• 标识管理员 - 通过快速汇总关键信息（如用户角色、签名日志和风险因素），帮助分析师了解潜在危害的范围和细节，从而简化事件解决。
• CISO - 从Microsoft和开放源代码获取最新的汇总威胁情报，提供有关相关风险和威胁参与者、工具和技术的上下文见解。

阅读以下相关资源：

• 用例：事件响应和修正
• 用例：基于威胁情报扩充的会审事件
• 事件调查 提示簿
• 在 Microsoft Defender 中使用 Microsoft Copilot 的引导式响应对事件进行分级和调查

生成 KQL 查询或分析可疑脚本

无需使用自然语言翻译手动编写查询语言脚本或反向工程恶意软件脚本，使每个团队成员都能执行技术任务。

• TI 分析师 - 构建 KQL 查询，以更快、更轻松地搜寻整个组织的威胁。
• 数据安全管理员 - 通过将查询从自然查询语言转换为关键字 (keyword) 查询语言 (KeyQL) 来简化电子数据展示调查。 使用自然语言提示，使搜索迭代更快、更准确。 加强团队专业知识，实现更自信的证据搜索。
• IT 管理员 - 构造并运行 KQL 查询，以从单个和多台设备获取设备详细信息。
• 云安全管理员 - 使用 Copilot 提供的分步修正指南和所需代码向开发人员提交拉取请求，修复基础结构即代码 (IaC) 中的问题。

阅读以下相关资源：

• 可疑脚本分析 提示簿
• 用例：调查事件和关联的可疑实体
• 在 Microsoft Defender 中使用Security Copilot生成 KQL 查询

了解风险并管理组织的安全状况

全面了解你的环境以及优先级风险，以发现机会，以便更轻松地改善态势。

• 云安全管理员 - 了解全面的多云风险，并接收风险修正的可操作分步指南，包括 AI 生成的脚本。 借助委派和拉取请求创建功能，跨团队促进风险修正。
• IT 管理员 - 使用优先级风险和 AI 生成的摘要全面了解环境，以识别重叠设置、防止策略冲突，并在策略创建或更新期间最大程度地减少漏洞。
• 数据安全管理员 - 通过集中式数据安全仪表板审查和解决优先数据安全风险来评估和管理组织的数据安全状况，以缩短调查时间。
• TI 分析师 - 获取与项目相关的威胁情报汇总，以快速将事件上下文化，并提取 MITRE 技术、策略和过程， (TTP) 了解相关的威胁活动。

阅读以下相关资源：

• 检查外部威胁文章 提示簿的影响
• 基于 MDTI 文章提示簿的威胁情报 360 报告

更快地排查 IT 问题

快速合成相关信息并接收可操作的见解，以快速识别和解决 IT 问题。

• IT 管理员 - 通过分析错误代码并汇总设备上下文，减少从发现到响应 IT 事件的平均时间。
• 标识管理员 - 通过自动收集数据并关联到相关信息的摘要 (简化登录日志故障排除，例如，失败的 MFA 尝试和策略更改) 。 获取有效解决访问问题的建议，例如重新注册设备或调整策略。

定义和管理安全策略

定义新策略，将其与其他策略交叉引用以用于冲突，并汇总现有策略，以便快速轻松地管理复杂的组织上下文。

• IT 管理员 - 通过分析冲突或错误配置的策略来降低操作中断和漏洞的风险，并获取建议的策略设置的指导。
• 数据安全管理员 - 简化 DLP 策略优化和数据布局策略规划，以改善覆盖范围和控制。

配置安全生命周期工作流

使用分步指南生成组并设置访问参数，以确保无缝配置以防止安全漏洞。

• 标识管理员 - 根据用户角色、组和访问包参数快速配置工作流，提供分步指导，确保设置全面准确。

为利益干系人开发报表

获取一份简洁明了的报告，汇总了上下文和环境、未解决的问题以及为报表受众的语气和语言准备的保护措施。

• SOC - 将 Copilot 中的调查汇总为可导出的自然语言报告，以简化与安全利益干系人之间的通信。
• CISO - 获取一份简洁明了的报告，其中涵盖了威胁、威胁参与者、分析师的工作和保护措施，这些报告是针对董事会使用其母语定制的。

阅读以下相关资源：

• 检查外部威胁文章 提示簿的影响
• 事件调查 提示簿
• 基于 MDTI 文章提示簿的威胁情报 360 报告
• 在 Microsoft Defender 中使用 Microsoft Copilot 汇总事件